04. Положення про службу захисту інформації в ІТС

НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в АС» встановлює вимоги до структури та змісту нормативного документу, що регламентує діяльність служби захисту інформації (далі - СЗІ) - «Положення про СЗІ в ІТС».

Як правило, Положення складається з таких розділів:
- завдання і функції СЗІ;
- повноваження і відповідальність СЗІ;
- взаємодія СЗІ з іншими підрозділами організації та зовнішніми установами;
- штатний розклад і структура СЗІ;
- організація робіт СЗІ;
- фінансування СЗІ.

В залежності від конкретних завдань і умов функціонування СЗІ дозволяється, у разі необхідності, поєднувати окремі розділи в один, вводити нові розділи (підрозділи) або вилучати розділи, що не є актуальними.

До Положення у вигляді додатків можуть включатися нормативні документи, таблиці, схеми, графіки, необхідні для визначення заходів захисту інформації, плани об'єктів захисту з вказанням робочих місць та встановлених на них технічних засобів передачі, прийому, зберігання, обробки інформації, що підлягає захисту та інші документи.

Положення має бути погоджене з юрисконсультом та керівниками підрозділів (служби безпеки, РСО, підрозділу ТЗІ) організації. Положення затверджується наказом керівника організації або підрозділу, до якого структурно входить СЗІ.

У 1-му розділі «Загальні положення» викладаються правові та організаційні питання:

1. Положення є нормативним документом організації та визначає завдання, функції, штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з іншими підрозділами організації та зовнішніми організаціями.

2. СЗІ є штатним або позаштатним підрозділом організації. СЗІ є самостійним структурним підрозділом з безпосередньою підпорядкованістю керівнику організації або структурною одиницею іншого підрозділу (РСО, ТЗІ, служби безпеки) організації.

В організаціях, де штатним розкладом не передбачено створення СЗІ, заходи щодо забезпечення захисту інформації в ІТС здійснюють призначені наказом керівника організації окремі працівники. У цьому випадку посадові (функціональні) обов'язки цих працівників повинні включати положення, які б передбачали виконання ними вимог щодо діяльності СЗІ.

3. Метою створення СЗІ є організаційне забезпечення завдань керування КСЗІ в ІТС та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в ІТС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в ІТС.

4. Правову основу для створення і діяльності СЗІ становлять Закон України «Про захист інформації в ІТС», «Правила забезпечення захисту інформації в ІТС», НД ТЗІ і накази Адміністрації Держспецзв'язку.

5. СЗІ у своїй діяльності керується Конституцією України, законами України, нормативно-правовими актами Президента України і Кабінету Міністрів України, іншими нормативно-правовими актами з питань захисту інформації, державними і галузевими стандартами, розпорядчими та іншими документами організації, а також цим Положенням.

СЗІ здійснює діяльність відповідно до «Плану захисту інформації в ІТС», календарних, перспективних та інших планів робіт, затверджених керівником організації.

6. Для проведення окремих заходів з захисту інформації в АС, які пов'язані з напрямком діяльності інших підрозділів організації, керівник організації своїм наказом визначає перелік, строки виконання та підрозділи для виконання цих робіт.

7. У своїй роботі СЗІ взаємодіє з підрозділами організації (РСО, ТЗІ, служби безпеки), а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації.

У разі потреби, до виконання робіт можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації.

У 2-му розділі «Завдання СЗІ» наводиться перелік таких завдань СЗІ:

- захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями;

- дослідження технології обробки інформації в ІТС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;

- організація та координація робіт, пов'язаних з захистом інформації в ІТС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;

- розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в ІТС;

- організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ІТС;

- участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів ІТС з питань захисту інформації;

- формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації;

- організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в ІТС та проведення контрольних перевірок їх виконання.

3-й розділ «Функції СЗІ» складається з 3-х таких підрозділів:

- створення КСЗІ;
- експлуатація КСЗІ;
- організація навчання персоналу з питань забезпечення захисту інформації.

3.1. Функції під час створення КСЗІ

- визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об'єктів захисту в ІТС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в ІТС;

- розробка та коригування моделі порушника безпеки інформації та моделі загроз для інформації, політики безпеки інформації та плану захисту інформації в ІТС;

- визначення і формування вимог до КСЗІ, організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;

- підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

- організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;

- вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з підрозділом ТЗІ (РСО, службою безпеки) погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт тощо);

- участь у розробці нормативних документів, чинних у межах організації і ІТС, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;

- участь у розробці нормативних документів, чинних у межах організації і ІТС, які встановлюють правила доступу користувачів до ресурсів ІТС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій тощо).

3.2. Функції під час експлуатації КСЗІ

- організація процесу керування КСЗІ;

- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;

- вжиття заходів у разі виявлення спроб НСД до ресурсів ІТС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

- забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

- організація керування доступом до ресурсів ІТС (розподілення між користувачами необхідних реквізитів захисту інформації - паролів, привілеїв, ключів тощо);

- супроводження та актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об'єктів, ідентифікатори користувачів тощо);

- спостереження (реєстрація та аудит подій в ІТС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ;

- організація та проведення заходів з тестування, оперативного відновлення функціонування та модернізації КСЗІ після збоїв, відмов, аварій ІТС або КСЗІ;

- участь в роботах з модернізації ІТС - узгодженні пропозицій з введення до складу ІТС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

- забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика